Enterprise Architecture (EA)

Materi Perkuliahan:

1.Mahasiswa mampu memahami dan bisa menyusun EA yang terintegrasi dengan proses perencanaan strategi TI

2.Mahasiswa mampu memahami dan bisa menjabarkan pengaturan prioritas inisiatif – inisiatif TI dalam satu organisasi untuk mencapai tujuan organisasi

3. Mahasiswa mampu memahami dan bisa menjabarkan bagaimana menguraikan obyektif organisasi ke obyektif TI sampai pada penjabaran peran, tanggung jawab dan aksi personal TI.

Definisi:

• Enterprise Architecture (EA) adalah proses menerjemahkan visi dan strategi suatu bisnis ke perubahan yang lebih efektif dengan cara membuat, mengkomunikasikan, dan meningkatkan kebutuhan kunci, prinsip dan model yang mendeskripsikan keadaan perusahaan pada masa depan dan memastikan perusahaan untuk berevolusi menjadi lebih baik (Wikipedia,2012).
  
• Enterprise Architecture (EA) menurut Pusat Riset Sistem Informasi di Massachusetts Institute of Technology adalah aspek yang spesifik dari bisnis suatu perusahaan:
  

  Enterprise Architecture adalah tentang mengorganisasikan proses bisnis dan infrastruktur teknologi informasi yang diintegrasikan dan di standarisasi tergantung kepada visi misi dan model operasional perusahaan. Model operasional adalah model yang paling cocok dengan integrasi dan standarisasi proses bisnis untuk mendistribusikan produk atau layanan perusahaan kepada konsumen.
  

• Enterprise architecture (EA)
  adalah praktik menganalisis, merancang, merencanakan, dan menerapkan analisis perusahaan untuk berhasil menjalankan strategi bisnis. EA membantu bisnis menyusun proyek dan kebijakan TI untuk mencapai hasil bisnis yang diinginkan dan untuk tetap mengikuti tren dan gangguan industri menggunakan prinsip dan praktik arsitektur, sebuah proses yang juga dikenal sebagai perencanaan arsitektur perusahaan (EAP). EA dimulai pada 1960-an, lahir dari “berbagai manuskrip arsitektur tentang Perencanaan Sistem Bisnis (BSP) oleh Profesor Dewey Walker,” menurut Enterprise Architecture Book of Knowledge (EABOK).
  

Tujuan:

Kata Enterprise digunakan karena cakupan dari Enterprise Architecture meliputi:

• Sektor organisasi publik maupun pribadi

• Keseluruhan bisnis atau perusahaan

• Bagian dari perusahaan yang besar

• Gabungan dari beberapa perusahaan/ joint venture

• Operasi bisnis berbasis outsourcing

• Perusahaan multinasional

Tujuan dari penggunaan Enterprise Architecture(EA) dalam perusahaan adalah:

• Untuk meningkatkan efektifitas dan efisiensi bisnis dari perusahaan itu sendiri.

• Penggunaan Enterprise Architecture ini juga termasuk inovasi dalam struktur organisasi perusahaan, integrasi proses bisnis, kualitas dan ketepatan waktu dari informasi bisnis, serta memastikan bahwa investasi untuk teknologi informasi dalam perusahaan dapat dipertanggungjawabkan.

Manfaat Enterprise Architecture (EA) perusahaan

• EA dapat menawarkan dukungan untuk desain ulang dan pengorganisasian kembali, terutama selama perubahan organisasi besar, merger atau akuisisi. Ini juga berguna untuk membawa lebih banyak disiplin ke dalam organisasi dengan menstandarkan dan mengkonsolidasikan proses untuk lebih konsisten.
  

• EA juga digunakan dalam pengembangan sistem, manajemen dan pengambilan keputusan TI, dan manajemen risiko TI untuk menghilangkan kesalahan, kegagalan sistem dan pelanggaran keamanan. Ini juga dapat membantu bisnis menavigasi struktur TI yang kompleks atau membuat TI lebih mudah diakses oleh unit bisnis lainnya.
  

• Menurut CompTIA, manfaat terbesar EAP meliputi:
  
  • Mengizinkan kolaborasi yang lebih terbuka antara IT dan unit bisnis
    
  • Memberi bisnis kemampuan untuk memprioritaskan investasi
    
  • Sehingga lebih mudah untuk mengevaluasi arsitektur yang ada terhadap tujuan jangka panjang
    
  • Menetapkan proses untuk mengevaluasi dan mendapatkan teknologi
    
  • Memberikan tampilan komprehensif arsitektur TI ke semua unit bisnis di luar TI
    
  • Memberikan kerangka tolok ukur untuk membandingkan hasil dengan organisasi atau standar lain
    

Metode Implementasi:

• Untuk metodologi pembuatan dapat mengggunakan :
  
  • TOGAF (The Open Group Architectural Framework ):
    

    
    

  • COBIT (Control Objective for Information and related Technology)
    

  
  

• Type Model sebagai berikut:
  
  • TOGAF
    

• 
  
  https://www.cio.com/article/3313657/what-is-enterprise-architecture-a-framework-for-transformation.html
  
• https://www.opengroup.org/togaf
  
• https://www.isaca.org/resources/cobit
  

The post TATA KELOLA IT (IT GOVERNANCE) Enterprise Architecture (EA) appeared first on Cerita Hosting ☁️.

(series-1)

Materi:

Mempelajari konsep dasar Audit Sistem Informasi

Definisi Audit Sistem Informasi Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah : Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently.(Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien).

ISACA, CISA Review Manual 2006 – The process of collecting and evaluating evidence to determine whether information systems and related resources adequately safeguards assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonable assurance that operational and control objectives will be meet and that undesired events will be prevented, or detected and corrected, in a timely manner.

Tujuan Audit Sistem Informasi:

Berdasarkan definisi audit sistem informasi tersebut di atas, dapat disimpulkan bahwa sekurang-kurangnya terdapat 4 (empat) tujuan audit sistem informasi, yaitu :

1. Mengamankan asset
   
2. Menjaga integritas data
   
3. Menjaga efektivitas sistem
   
4. Mencapai efisiensi sumber daya.
   

Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dengan aktiva-aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.

Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

Faktor yg Mempengaruhi sebuah Organisasi terhadap Kendali dan Audit Komputer

Sasaran Audit

• Auditing ditujukan untuk memastikan business assurance bagi perusahaan, hal yang paling perlu diingat adalah bahwa memperhitungkan business risk juga termasuk memastikan business assurance bagi perusahaan.
  
• Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk menempatkan titik kontrol yang tepat.
  
• Audit tidak lagi hanya dilakukan pada akhir tahun buku.
  
• Audit dapat dilakukan bahkan untuk setiap transaksi dan saat transaksi terjadi.
  

Peran Seorang Auditor

• Untuk menempatkan titik kontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu.
  
• Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan.
  
• Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada.
  

Landasan Audit Sistem Informasi

Traditional Auditing

• Membawa ilmu pengetahuan dan kaya pengalaman ttg teknik kendali internal (internal control techniques),Dengan kata lain, filosofi kendali pada audit sistem informasi diambil dari audit tradisional
  
• Traditional auditing : mengumpulkan dan menilai bukti guna menentukan dan melaporkan kesesuaian antara aktivitas ekonomi
  
• Metodologi umum untuk pengumpulan dan evaluasi bukti juga berbasis pada metodologi audit tradisional .
  

Information Systems Management

• Sejarah membuktikan bhw sistem informasi berbasis komputer pada awalnya hanya membawa kehancuran, spt kegagalan sistem mencapai tujuan organisasi .
  
• Setelah beberapa thn pada peneliti sibuk mencari cara yg lebih baik utk manajemen pengembangan dan implementasi sistem informasi , Kini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen proyek telah membawa pengembangan sistem informasi menjadi sukses. Dokumentasi, standar, budget, dan investigasi diterapkan .
  

• Cara yg lebih baik utk mengembangkan dan menerapkan sistem informasi telah dikembangkan. Misal analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan .
  
• Kemajuan teknik-teknik tsb mempengaruhi audit sistem informasi.
  

Behavioral Science (=people problem)

• Sistem komputer terkadang gagal karena desainernya tdk menghargai isu-isu kesulitan manusia yg sering dihubungkan dng pengembangan dan implementasi sistem
  
  • Contoh : ketahanan perilaku/sikap thd sistem informasi dpt memberi dampak buruk thd usaha mencapai asset safeguarding, data integrity, system effectiveness and efficiency
    
  • Contoh lain : user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasi
    
  • Auditor hrs memahami kondisi yg mengacu pd masalah perilaku, yg akan menyebabkan kegagalan sistem
    
  • Para peneliti menekankan kebutuhan desain sistem pada tugas-tugas yg dicapai sistem informasi (teknik), dan kualitas kerja pegawainya (sosial) di dalam organisasi.
    
    

Computer Science

• Ilmu komputer menekankan pada pengetahuan bagaimana membuktikan kebenaran dari perangkat lunak, membangun sistem komputer yang toleransi pada kegagalan, mendesain sistem operasi yang aman, dan pengiriman data secara aman melalui link komunikasi
  
• Pengetahuan tersebut membawa cara yang lebih baik utk asset safeguarding, data integrity, system effectiveness dan system efficiency.
  

Pendekatan Audit Sistem Informasi

Pendekatan audit sistem informasi terdiri dari dua penekanan yang berbeda yaitu :

• Pendekatan temuan (Exposures Approach), fokus utama ditekankan pada jenis kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima (acceptable levels).
  
• Pendekatan kendali (Control Approach), fokus utamanya adalah kendali-kendali di dalam suatu sistem informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima (acceptable levels).
  

Tahapan Audit Sistem Informasi

Menurut Ron Weber dalam bukunya Information Systems Control and Audit halaman 47-55, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :

1. Perencanaan Audit (Planning the Audits)
   
2. Pengetesan Kendali (Tests of Controls)
   
3. Pengetesan Transaksi (Tests of Transactions)
   
4. Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan
   
5. Pengakhiran (penyelesaian) Audit (Completion of the Audit)
   

Menurut Gallegos Cs. dalam bukunya Audit and Control of Information Systems (chapter 10), tahapan audit sistem informasi mencakup aktivitas :

1. Perencanaan (Planning)
   
2. Pemeriksaan Lapangan (Fieldwork)
   
3. Pelaporan (Reporting) dan
   
4. Tindak Lanjut (Follow Up)
   

Ethic Code of IT Auditor

• Support the implementation of, and encourage compliance with, appropriate standards, procedures and controls for information systems.
  
• Perform their duties with due diligence and professional care, in accordance with professional standards and best practices
  
• Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character, and not engage in acts discreditable to the profession.
  
• Maintain the privacy and confidentiality of information obtained in the course of their duties unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties.
  
• Maintain competency in their respective fields and agree to undertake only those activities, which they can reasonably expect to complete with professional competence
  
• Inform appropriate parties of the results of work performed; revealing all significant facts known to them
  
• Support the professional education of stakeholders in enhancing their understanding of information systems security and control.
  

Various Auditing Standards

• American Institute of Certified Public Accountants (AICPA) and International Federation of Accountants (IFAC).
  
• Financial Accounting Standards Board (FASB) with Statement on Auditing Standards
  
• (SAS), standards 1 through 114, which are referenced and applied by the AICPA and IFAC.
  
• Generally Accepted Accounting Principles (GAAP).
  
• Committee of Sponsoring Organizations of the Treadway Commission (COSO), providing the COSO internal control framework that is the basis for standards used in global commerce. COSO is the parent for the standards used by governments around the world.
  
• Public Company Accounting Oversight Board (PCAOB) of the Securities and Exchange Commission, issuing audit standards AS-1, AS-2, AS-3, AS-4, and AS-5. PCAOB is the standards body for Sarbanes-Oxley, including the international implementation by the Japanese government and European Union (US-SOX, J-SOX and E-SOX).
  
• Organization for Economic Cooperation and Development (OECD), providing guidelines for participating countries to promote standardization in multinational business for world trade.
  
• International Organization for Standardization (ISO), which represents participation from more than member governments.
  
• U.S. National Institute of Standards and Technology (NIST), providing a foundation of modern IS standards used worldwide. When combined with British Standards/ISO (BS/ISO), you get a wonderful amount of useful guidance.
  
• U.S. Federal Information Security Management Act (FISMA), which specifies minimum security compliance standards for all systems relied on by the government, including the military and those systems operated by government contractors. (The U.S. government is the world’s largest customer.)
  
• IS Audit and Control Association (ISACA) and IT Governance Institute (ITGI) issue the Control OBjectives for IT (CObIT) guidelines which are derived from COSO with a more specific emphasis on information systems.
  
• Basel Accord Standard II (Basel II), governing risk reduction in banking.
  

IT Auditor Competency

Metodologi Audit SI

CobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam Pengelolaan teknologi informasi. Disusun oleh ISACA (Information Systems Audit and Control Association) dan ITGI (IT Governance Institute)

COBIT (Control Objectives for Information and related Technology), merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor – faktor lain yang berpengaruh.

Sertifikasi Profesional IT Auditor

CISA

CISA (Certified Information Systems Auditor) adalah sertifikasi profesional TI yang menunjukkan bahwa seseorang telah memenuhi standar kompetensi TI tertentu, khususnya di bidang audit, kontrol dan pengamanan TI (security). CISA dikeluarkan oleh ISACA, sebuah asosiasi yang berkedudukan di Amerika yang beranggotakan puluhan ribu profesional TI di seluruh dunia. ISACA dikenal juga sebagai asosiasi yang menerbitkan COBIT (Control Objectives for Information and related Technology).

DAFTAR PUSTAKA

• Information System Audit and Control Association (ISACA) (2003), IS Standards, Guidelines and Procedures for Auditing and Control Professionals, http://www.isaca.org.
  
• Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall.
  
• https://bahankuliahonline.wordpress.com/2005/09/17/audit-sistem-informasi/
  
• http://magister-cio.ft.unp.ac.id/download/materi-kuliah/konsep-dasar-audit-ti/
  
• http://www.slideshare.net/abriantonugraha/presentasi-002audsi?qid=8b5ab234-a209-445c-8212-826dd5ce05a6&v=&b=&from_search=5
  

The post AUDIT SISTEM INFORMASI:(1) appeared first on Cerita Hosting ☁️.

PENGANTAR

Ada beberapa definisi mengenai Tata Kelola IT (IT Governance):

• Suatu cabang dari tata kelola perusahaan yang terfokus pada Sistem/Teknologi informasi  serta manajemen Kinerja  dan risikonya.
  
• Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola resiko-resiko terkait TI
  

Tatakelola teknologi informasi bukan bidang yang terpisah dari pengelolaan perusahan, melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama sebagai berikut:

1. Memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi perusahaan.

2. Memberikan arahan kepada proses-proses yang menerapkan strategi perusahaan.

3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.

4. Memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya.

5. Memastikan keluaran yg dihasilkan sesuai dgn yg diharap

Governance” merupakan turunan dari kata “governmnet”, artinya membuat kebijakan yang sejalan atau selaras dengan keinginan masyarakat.

Sedangkan pengertian “governance” terhadap Teknologi Informasi (IT Governance) adalah menerapkan Teknologi Informasi dalam organisasi atau pemerintahan agar pemakai TI diarahkan dengan tujuan organisasi tersebut. 

Menurut Sambamurthy and Zmud (1999), IT Governance dimaksudkan sebagai pola dari otoritas/kebijakan terhadap aktivitas TI (IT Process).

Pola ini diantaranya adalah: membangun kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara efisien, efektif dan aman, serta proses IT Project Management yang efektif.

Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Governance as a “structure of relationships and processes to direct and control the enterprise in order to achieve the entreprise’s goals by value while balancing risk versus return over IT and its processes”.

Pentingnya Tata Kelola(IT Governance)

Di lingkungan yang sudah memanfaatkan Teknologi Informasi (TI), tata kelola TI menjadi hal penting yang harus diperhatikan. Hal ini dikarenakan ekspektasi dan realitas seringkali tidak sesuai. Pihak shareholder perusahaan selalu berharap agar perusahaan dapat : 

1.   Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran. 

2.    Menguasai dan menggunakan TI untuk mendatangkan keuntungan. 

3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI. 

Pengabaian Tata Kelola

Tata kelola TI yang dilakukan secara tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan, yang memicu munculnya fenomena investasi TI yang tidak diharapkan, seperti: 

1.Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi. 

2.Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang di perkirakan, dan kualitas lebih rendah dari yang telah diantisipasi. 

3.Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI. 

4.Kegagalan dari inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan 

Manfaat Tata Kelola

• Untuk mengatur penggunaan TI
  
• Memastikan kinerja TI sesuai dengan tujuan/fokus utama area tata kelola TI
  

Model Tata Kelola TI

1. The IT Infrastructure Library (ITIL)

ITIL dikembangkan oleh The Office of Government Commerce (OGC) suatu badan dibawah pemerintah Inggris, dengan bekerja sama dengan The IT Service Management Forum (itSMF) dan British Standard Institute (BSI)

ITIL merupakan suatu framework pengelolaan layanan TI (IT Service Management – ITSM) yang sudah diadopsi sebagai standar industri pengembangan industri perangkat lunak di dunia.

2. ISO/IEC 17799 

ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar  keamanan informasi, yaitu:

1. Confidentiality – memastikan bahwa informasi hanya dapat diakses oleh yang berhak.

2. Integrity – menjaga akurasi dan selesainya informasi dan metode pemrosesan.

3. Availability – memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.

3. COSO 

COSO merupakan kependekan dari Committee of Sponsoring Organization of the Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance.

4. Control Objectives for Information and related Technology (COBIT)

COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat

     COBIT Framework terdiri atas 4 domain utama:

1. Planning & Organisation.

2. Acquisition & Implementation.

3. Delivery & Support.

4. Monitoring.

IT Framework COBIT

Architecture Governance Model

• IT Strategic Alignment
  

Aligning IT with the business strategy and delivering collaborative business/IT initiatives

• IT Value Delivery
  

Optimising IT expenditure and proving the value and business benefits derived from IT investments

• IT Resource Management
  

Optimising the use of the IT assets (human, intellectual and infrastructure)

• IT Risk Management
  

Safeguarding of IT assets, assessment of threats and disaster recovery

• IT Performance Management
  

Tracking project delivery and monitoring the performance of IT services

• Normal operations
  
  • SLA service delivery
    
  • Approved development projects
    
  • Minor enhancement requests (within resource constraints)
    

  • Escalation
    

– New/enhanced services beyond SLA

– New development proposals

The post TATA KELOLA IT (IT GOVERNANCE) appeared first on Cerita Hosting ☁️.